Vulnérabilité dans Cisco Unified Communications Manager

Gestion du document

Référence	CERTA-2009-AVI-095
Titre	Vulnérabilité dans Cisco Unified Communications Manager
Date de la première version	16 mars 2009
Date de la dernière version	16 mars 2009
Source(s)	Bulletin de sécurité cisco-sa-20090311-cucmpab du 11 mars 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Cisco Unified CallManager versions 4.1 ;
Cisco Unified Communications Manager versions 4.2 antérieures à 4.2(3)SR4b ;
Cisco Unified Communications Manager versions 4.3 antérieures à 4.3(2)SR1b ;
Cisco Unified Communications Manager versions 5.x antérieures à 5.1(3e) ;
Cisco Unified Communications Manager versions 6.x antérieures à 6.1(3) ;
Cisco Unified Communications Manager versions 7.0 antérieures à 7.0(2).

Résumé

Une vulnérabilité dans Cisco Unified Communications Manager permet d'accéder à un compte d'administration de l'application.

Description

Une vulnérabilité a été découverte dans le mécanisme de synchronisation des carnets d'adresses (Personal Address Book - PAB) dans Cisco Unified Communications Manager (autrefois appelé CallManager). Lorsqu'un client de synchronisation PAB s'authentifie auprès d'un serveur Cisco Unified Communications Manager (via une connexion HTTPS), des identifiants d'un compte d'administration sont renvoyés « en clair ». Un attaquant peut intercepter ces identifiants.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco 20090311-cucmpab du 11 mars 2009 :

http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml

Référence CVE-2009-0632 :

https://www.cve.org/CVERecord?id=CVE-2009-0632

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco Unified Communications Manager